Сотни «спящих» расширений пробудились. Злоумышленники нашли способ сделать вредоносный код практически неуязвимым
NewsMakerРазработчики по всему миру столкнулись с вызовом, к которому никто не был готов.
Кампания вредоносного ПО GlassWorm снова изменила тактику и стала заметно опаснее. За несколько дней атака через расширения для среды разработки Open VSX превратилась из скрытой подготовки в активное заражение, причём злоумышленники начали использовать внешнюю инфраструктуру, чтобы усложнить блокировку.
Специалисты компании Socket зафиксировали новую волну активности после того, как ранее «спящие» расширения начали внезапно обновляться и получать вредоносный функционал. Сначала такие пакеты выглядели безобидно и не вызывали подозрений, однако спустя часы или даже дни в них добавляли загрузчик, который подтягивал вредоносный код.
17 и 18 марта атака перешла в активную фазу. Ряд расширений превратили в наборы зависимостей, автоматически устанавливающие вредоносные компоненты. Одно из таких расширений, lauracode.wrap-selected-code, получило обновление, после которого начало скачивать вредоносный файл напрямую с GitHub и устанавливать его сразу в несколько IDE. Такой подход стал серьёзным шагом вперёд для злоумышленников — вредоносный код больше не зависит от инфраструктуры Open VSX и сложнее поддаётся удалению.
Анализ показал, что вредоносный загрузчик запускается при активации расширения, ищет установленные среды разработки и принудительно устанавливает дополнительный VSIX-файл. Вредоносный код маскируется особенно тщательно — в исходниках расширения нет подозрительных элементов, вся нагрузка добавляется уже в скомпилированный JavaScript.
Кампания вредоносного ПО GlassWorm снова изменила тактику и стала заметно опаснее. За несколько дней атака через расширения для среды разработки Open VSX превратилась из скрытой подготовки в активное заражение, причём злоумышленники начали использовать внешнюю инфраструктуру, чтобы усложнить блокировку.
Специалисты компании Socket зафиксировали новую волну активности после того, как ранее «спящие» расширения начали внезапно обновляться и получать вредоносный функционал. Сначала такие пакеты выглядели безобидно и не вызывали подозрений, однако спустя часы или даже дни в них добавляли загрузчик, который подтягивал вредоносный код.
17 и 18 марта атака перешла в активную фазу. Ряд расширений превратили в наборы зависимостей, автоматически устанавливающие вредоносные компоненты. Одно из таких расширений, lauracode.wrap-selected-code, получило обновление, после которого начало скачивать вредоносный файл напрямую с GitHub и устанавливать его сразу в несколько IDE. Такой подход стал серьёзным шагом вперёд для злоумышленников — вредоносный код больше не зависит от инфраструктуры Open VSX и сложнее поддаётся удалению.
Анализ показал, что вредоносный загрузчик запускается при активации расширения, ищет установленные среды разработки и принудительно устанавливает дополнительный VSIX-файл. Вредоносный код маскируется особенно тщательно — в исходниках расширения нет подозрительных элементов, вся нагрузка добавляется уже в скомпилированный JavaScript.